regedit.exe

у меня проблема с файлом regedit.exe
в ветке реестра HKEY_LM\Run Создается параметр Regedit32.exe со значением C:\WINDOWS\system32\regedit.exe

после удаления
он восстанавливается вновь
дело в том, что файл regedit.exe отсутствует как таковой

заранее благодарен за помощь!

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=51328[/url]

3. Повторите логи.

сделано!

Ntfs.sys - [B]Rootkit.Win32.HareBot.by[/B]

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\Ntfs.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Ntfs');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]

после выполнения данного скрипта перестала загружаться система из-за отсутствия файла ntfs.sys
пришлось восстанавливать

[QUOTE=artikrock;443053]после выполнения данного скрипта перестала загружаться система из-за отсутствия файла ntfs.sys
пришлось восстанавливать[/QUOTE]
Очень интересно. Но восстановить все как было у Вас не получилось. Это видно из логов.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
DeleteFile('Ntfs.sys');
ExecuteSysClean;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите лог [B]virusinfo_syscheck.[/B]

4. Сделайте такие логи:

[url]http://virusinfo.info/showthread.php?t=37840[/url]
[url]http://virusinfo.info/showthread.php?t=40118[/url]

мда уж, компьютер перезагрузился
выдал снова ошибку об отсутствии файла ntfs.sys
я его снова восстановил
теперь винда совсем не загружается выкидывает синий экран смерти
что теперь делать?

В безопасном режиме тоже не грузится?

[QUOTE=Aleksandra;443096]В безопасном режиме тоже не грузится?[/QUOTE]

к сожалению, нет

а систему переустанавливать очень критично :(

Придется загрузиться с лайф сиди и восстановить этот файл.

не помогает, ситуация ровно такая же :(

Вы уже распаковали этот файлик и загрузились с лайф сиди подсунули его в C:\WINDOWS\system32\Drivers ?

да, я так и сделал
попробовал и с Вашей копией, и с родной с диска
безрезультатно
кстати, до этого(когда выходила ошибка об отсутствии файла ntfs.sys), я восстанавливал его также
видать что-то еще поменялось...
в синем экране смерти написано: Process1_Initialization_Failed
stop:0x0000006B

Тут вина на 100 проц. моя. Этот файл удалять было нельзя. Его нужно было заменить. Я постараюсь найти решение до вечера.

[QUOTE=Aleksandra;443136]Тут вина на 100 проц. моя. Этот файл удалять было нельзя. Его нужно было заменить. Я постараюсь найти решение до вечера.[/QUOTE]

а нельзя ли восстановить тот файл, который был с вирусом?
а потом вылечить снова?

Можно попытаться его восстановить. Он есть в карантине AVZ

Если подсунуть сам зловред, то может ожить. Но только она и с настоящим драйвером ожить должна. Вот только почему-то не ожила.

[QUOTE=PavelA;443139]Можно попытаться его восстановить. Он есть в карантине AVZ[/QUOTE]

Уже нету, каспер снес :(

Скорее всего, простое подсовывание этого драйвера толку не даст, так как при удалении AVZ зачистил его следы в реестре. Единственное что можно сделать - [URL="http://www.oszone.net/6176"]экспортировать параметр реестра[/URL] с чистой системы для ntfs.sys, а потом с помощью ERD Commander импортировать это ветку на проблемную машину.

[QUOTE=artikrock;443144]Уже нету, каспер снес :([/QUOTE]
Решение по восстановлению системы есть, но оно непростое ... потребует выполнить ряд операций:
1. Взять файл ntfs.sys из приложенного к этому сообщению архива
2. загрузиться с LiveCD любого типа и полдключить реестр пораженной системы
3. В реестре пораженной системы в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ создать раздел Ntfs, если его нет (а скорее всего его нет).
4. В разделе Ntfs создать параметры:
ErrorControl типа REG_DWORD, значение 1
Group типа REG_SZ, значение "File system"
Start типа REG_DWORD, значение 4
Type типа REG_DWORD, значение 2
5. Скопировать добытый на шаге 1 ntfs.sys в папку C:\WINDOWS\system32\drivers\
6. Перезагрузиться
Если все удастся проделать как описано, то система оживет ... судя по логам система была XP SP3, ntfs.sys от этой версии системы в приложенном архиве. Поэтому в качестве шага 1 можно сказать приложенный мной архив и извлечь из него ntfs.sys